Apache Struts 2に再び深刻な脆弱性が発覚。求められる対策や体制とは？

以前からリモートコード実行の脆弱性がたびたび見つかっているApache Struts 2ですが、2018年8月にまた同様の脆弱性（S2-057/CVE-2018-11776）が発覚しました。

今回の脆弱性は、攻撃者が特別に細工したURLを対象サーバにリクエストすることで、対象サーバにおいて、任意のコードを実行される可能性があるというものです。
リクエストのURLを細工することで攻撃が成功することから悪用が容易であり、前提条件に合致すれば大変危険な脆弱性です。前提条件は、「Strutsの設定ファイル（struts.xmlなど）でnamespaceの値が指定されていないか、ワイルドカードが指定されている場合」、あるいは「URLタグの記述においてvalueかactionの値が指定されていない場合」とされています。

本脆弱性の影響を受ける製品は「Struts 2.3～Struts 2.3.34、Struts 2.5～Struts 2.5.16」とされており、サポートされていないStrutsのバージョンも影響を受ける可能性があります。
悪用方法も、早々にインターネットで公開されました。Apache Struts 2を使用したWebサービスをインターネット上で提供してあり、前提条件に合致する場合には、別途ステージング環境などでテストをしたうえで、対処されたバージョンである2.3.35や2.5.17にバージョンアップする必要があります。

Apache Software Foundationは、本脆弱性に対する回避策として、Strutsの設定ファイルでnamespaceの値を指定し、URLタグのvalueとactionの値を指定することを提示しています。しかし、Apache Struts 2における過去の深刻な脆弱性においても、当初提示された回避策が不充分だったと何度も訂正されたことがありました。
その為、回避策を行うよりも、できる限り早くバージョンアップを行うことが必要です。また、このように過去の状況も把握した後で、より良い判断をタイムリーに行える体制構築も重要です。